SecBoard
Zurück zur Übersicht

Missed incidents, persistent threats, and response gaps: Insights from compromise assessment projects

Securelist·
Originalartikel lesen bei Securelist

Kaspersky-Analysen zeigen, dass viele Cyberangriffe unentdeckt bleiben, oft über Monate oder sogar Jahre. Unternehmen übersehen 60 % der Vorfälle aufgrund fehlender Warnmeldungen und mangelnder operativer Reife. Betroffene sollten regelmäßige Sicherheitsaudits durchführen, Überwachungstools anpassen und ihre Incident-Response-Pläne kontinuierlich aktualisieren, um Bedrohungen frühzeitig zu erkennen und zu bekämpfen.

Kurzfassung

Kaspersky-Analysen zeigen, dass viele Cyberangriffe unentdeckt bleiben, oft über Monate oder sogar Jahre, wobei 60 % der Vorfälle aufgrund fehlender Warnmeldungen übersehen werden. Dies deutet auf eine mangelnde operative Reife bei der Erkennung und Reaktion auf Bedrohungen hin. Unternehmen müssen regelmäßige Sicherheitsaudits durchführen, Überwachungstools anpassen und Incident-Response-Pläne aktualisieren, um Bedrohungen frühzeitig zu erkennen.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Organisationen im Finanzsektor sind betroffen. Generell sind alle Organisationen betroffen, die eine mangelnde operative Reife bei der Erkennung und Reaktion auf Bedrohungen aufweisen.

Warum relevant

Das Übersehen von 60 % der Vorfälle und die lange Persistenz von Bedrohungen (oft über Monate oder Jahre) erhöhen das Risiko erheblich. Dies führt zu potenziell größeren Schäden, da Angreifer unentdeckt agieren können.

Realistisches Worst Case

Langfristige, unentdeckte Präsenz von Angreifern in den Systemen, die zu wiederholten Datenexfiltrationen, Systemmanipulationen oder anhaltenden Betriebsunterbrechungen führen kann, bevor der Vorfall überhaupt erkannt wird.

Handlungsempfehlung

Führen Sie regelmäßige Kompromittierungsbewertungen durch, aktualisieren Sie kontinuierlich Überwachungstools und Incident-Response-Playbooks und verbessern Sie die menschliche Analyse von Warnmeldungen mit geringer Konfidenz. Beheben Sie Kommunikationslücken und verbessern Sie die operative Reife.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie die Konfiguration Ihrer Überwachungstools (z.B. SIEM, EDR), um sicherzustellen, dass sie Warnmeldungen mit hoher Konfidenz generieren und auch Warnmeldungen mit geringer Konfidenz zur Analyse weiterleiten.
  • Führen Sie eine interne Überprüfung Ihrer Incident-Response-Pläne durch, um sicherzustellen, dass sie aktuell sind, regelmäßig getestet werden und Kommunikationswege klar definiert sind.
  • Bewerten Sie die operative Reife Ihres Sicherheitsteams, insbesondere im Hinblick auf die Fähigkeit, Warnmeldungen zu analysieren und auf Vorfälle zu reagieren, und identifizieren Sie Schulungsbedarfe.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
PersistenceT1136 Create AccountLow„oft über Monate oder sogar Jahre“ (impliziert, dass Angreifer persistente Zugänge etablieren)
Defense EvasionT1070 Indicator RemovalLow„viele Cyberangriffe unentdeckt bleiben“ (impliziert, dass Angreifer Techniken zur Umgehung der Erkennung einsetzen)
DiscoveryT1087 Account DiscoveryLow„lang-undetected threats“ (impliziert, dass Angreifer unentdeckt Erkundungsaktivitäten durchführen können)
Offene Punkte
  • Spezifische Arten von Bedrohungen oder Angreifern, die unentdeckt bleiben.
  • Konkrete CVEs oder Exploits, die in den unentdeckten Vorfällen genutzt wurden.
  • Detaillierte technische Indikatoren für Kompromittierung (IOCs).
  • Spezifische Tools oder Technologien, die von den Angreifern verwendet wurden.
  • Die genaue Methodik der Kaspersky-Analyse, die zu den 60 % unentdeckten Vorfällen führte.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Ja
  • Privilege Escalation relevant?Ja
  • Exploit öffentlich verfügbar?Ja
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Ja

Kundenfragen

  • Haben wir Active Directory / Entra extern erreichbar?
  • Haben wir Windows extern erreichbar?
  • Können wir Reconnaissance detektieren?
  • Können wir Resource Development detektieren?
Themen
SOC, TI and IR postsLinuxMicrosoft WindowsVulnerabilitiesTrojanBackdoorPowerShellMinerIncident responseweb shell